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Дырявый не РНР, а конкретный код 


ро РНР Ризза 
2022 


РЕТЕЛСТ 


Проблема 


. Чрезвычайная распространенность 


РЕТЕЛСТ 


Проблема 


. Чрезвычайная распространенность 
. Низкий порог входа 


РЕТЕЛСТ 


ро РНР Ризза 
2022 


Проблема 
. Чрезвычайная распространенность 


. Низкий порог входа 
. Очень много плохого кода 


ро РНР Ризза 
2022 


ОЕТЕЛСТ 


Проблема 


. Чрезвычайная распространенность 

. Низкий порог входа 

. Очень много плохого кода 

. Нелояльное отношение к безопасности 


ОЕТЕЛСТ 


Проблема 


. Чрезвычайная распространенность 

. Низкий порог входа 

. Очень много плохого кода 

. Не лояльное отношение к безопасности 

* Много интересных уязвимостей и техник эксплуатаций 


ро РНРРизза 
2022 


ОЕТЕЛСТ 


Какая цель? 


ро РНР Ризза 
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РЕТЕЛСТ 


О чем поговорим? 


° Статистика 


ро РНР Ризза 
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РЕТЕЛСТ 


О чем поговорим? 


. Статистика 
. Какие баги чаще всего встречаются? 


РЕТЕЛСТ 


О чем поговорим? 


° Статистика 
. Какие баги чаще всего встречаются? 
» Уязвимости в РНР. Реальные кейсы 


ро РНР Ризза 
2022 


ОЕТЕЛСТ 


О чем поговорим? 


. Статистика 

. Какие баги чаще всего встречаются? 
. Уязвимости в РНР. Реальные кейсы 
. Как не допускать такие баги? 


РЕТЕЛСТ 


ро РНР Ризза 
2022 


О чем поговорим? 


. Статистика 

. Какие баги чаще всего встречаются? 
. Уязвимости в РНР. Реальные кейсы 
. Как не допускать такие баги? 

. ВЫВОДЫ 


РЕТЕЛСТ 


ро РНР Ризза 
2022 


Кто я? 


. Ватагап 

‚ @гОпаск © 

‚ Техлид и пентестер в ОщеА 
. Багхантер 

. Веду канал ВоитмуОптСоНее 


ОЕТЕЛСТ 


Почему стоит задуматься о 
безопасности РНР! 


ро РНРРизза 
2022 


РЕТЕЛСТ 


Когда вы понимаете, что приложение, которое будете 
ломать написан на РНР, вы радуетесь? 


РЕТЕЛСТ 


РНР 
АЗР.МЕТ 
ВиБу 
Зауа 
бса!а 
Зауа$спре 


м анис е$ 


Ру{Поп 


20 


10 


10Ос{20 —1М ом 1Оес 14а'’21 126 1Маг 1 Арг 1 Мау 1 Зил 13 1 А\ч 1 5ер 1 Ос 


РЕТЕЛСТ 


Статистика 


Только 6% апгрейднулись на 8 версию 


а [ м. 
Мегоп 5 ОНИ 22.8% 
Мегаоп 8 №99 6.3% 


\Мегюоп 4 10.2% 


\М/ЗТесрз.согт, 19 МомегтЬег 2022 


Регсептадез$ о! мебзИез изтд уапои$ уегзюп$ о! РНР 


РЕТЕЛСТ 


Статистика 


У кого установлен Сотрозег 


8.3 ФЗ.2 8.1 80 @74 973 972 971 070 ©556 955 ©54 ©53 


2021-05 2021-06 2021-08 2021-10 2021-12 2022-02 2022-04 2022-06 2022-08 202228Р2-11 


РЕТЕЛСТ 


‘мои юеосовае 


г 
с) 
г 
го 
— 
—ь 


ячнимял 
> ом 


Статистика 


О: Ном ММоша \Уоиц КапК Уоцг Сиггег: БеуеюортепЕ Риог@е$? 


Вийата Мем/ Ееа{иге$ 


иргоута АррйсаНноп Ре{фогтапсе 


Нтргоута Соае ОцаШу 
Оерюоутеп{ АщотаНоп / Огспе$гайоп |, | | | | | | | | 


$есийу 
1 - Тор Рпогйу 5 - Еоми Ргонйу 


Ир: //млм\м/.2еп.сот/гезоигсе$/2022-р|р-|ап4зсаре-герог{ 


РНР Низза 


РЕТЕЛСТ 


Статистика 


ОЕТЕЛСТ 


ВоипНе$ Тоа! Етапса! Ремгага$ Аглоцги 


Тор 10 МШпега Иез Тока! Боипёу 


ты $36,925,156 


Сгозз-зйе $спрёпа (Х$$) 

и\фоптпавоп Озсюзиге 

ипргорег Ассезз Сопёго! 

илзесиге Ойес! ОЩес! Вейегепсе (ОВ) 
Римйеде Езсаююп 

ипргорег Ашпепбсабоп 

Соде иесвоп 

5ОЕ иесвоп 

Зегиег-Э4е Кедиез! Рогдегу ($$8Е) 


Визтезз Тосс Етогз 


Юр: //\млим/.ПасКегопе.сот/гезоигсе$/герогтя/паскКег-ро\мегесд- 
зесигКу-героп-тац$гу-т$е{5-21 


ГЕВООШММ Рауоцщ$ Тог ВезЖорз/Зегуегз' ши Ч 


Урю МИп ВСЕ 
$1000,000 ШИ \МИпдом5 ВСЕ: Вето!е Соде Ехесивоп ао СРОК 
ШЕИ пасо$ ЕРЕ: оса! РИМеде Езса!аНоп 
Ши (/пих/В$О | $ВХ: Запабох Езсаре ог Вураз$ 
ШИ Апу 05 УМЕ:Мщуиа! МасНпе Езсаре 
Урю 
$500,000 
5001 ь 
Ур ® М$ Оцфоок М$ Ехсвапде Ореп$ 5 
$250,000 ВСЕ ВСЕ АСЕ 
6001 
Ур ® \УМумаге ЕЗХ! В ТПипдеЬиа 
$200,000 УМЕ ВСЕ 
МАплупих 
3403 3004 5003 
Урю Едае Агеюх Мютгд/Ехсе! сРапе/ММИНМ 
$100,000 ВСЕ+ЁЕРЕ ВСЕ+ЁЕРЕ ВСЕ ВСЕ 
Уйп УИп их их 
6002 5004 ЧМ 5055 6.003 ч 
Урю ММумаге \/$ АдоБе РОЕ МИпВАВ МИпдомиз 
$80,000 АСЕ+$ВХ АСЕ ГРЕ/ЗВХ 
Мп 
5007 6.007 ч 
Апймги$ М7 р в$0 
ВСЕ ЕРЕ 
8) 
т { тои 
Вощегз Апб\ги$ Ногде 
ВСЕ РЕ ВСЕ 
Ипих 


ЮЕр5://7егоЧит.сот/рговгат.Вт| 
РЕТЕЛСТ | —- 


\\МогаРге$$ Рге-Аши КСЕ 


За и$: 
Тагде!: 
Воиту: 
Зап Ба{е: 


Епа Оа{е: 


\\МогаРге$$ 
Ор © $300,000 
31 Магсй 2021 


ТВО 


(рэ: //7егоЧит.сот/хетрогагу.Нит| 


РЕТЕЛСТ 


Какие баги чаще всего 
встречаются именно в 
РНР? 


ро РНР Ризза 
2022 


РЕТЕЛСТ 


Какие баги? 


* Универсальные классы уязвимостей 
. Логические (ошибки авторизации, ...) 
* Уязвимости сйеп{ эае (Х$$, СОКБ$, ...) 


ОЕТЕЛСТ 


Какие баги? 


* Универсальные классы уязвимостей 
. Логические (ошибки авторизации, ...) 
* Уязвимости сйеп{ эае (Х$$, СОКБ$, ...) 


. Их мы встречаем вне зависимости от стека 


ОЕТЕЛСТ 


ро РНР Ризза 
2022 


Какие баги? 


. Инъекции 


ро РНР Ризза 
2022 


РЕТЕЛСТ 


Какие баги? 


$4г_гер[асе(""", ""2$_СЕТ[а']) РР 
м — Иа”. В 


. Инъекции | “ Ы 
Ц че 
. 5ОЁ-инъекции 


РЕТЕЛСТ 


5ОЕ-инъекции 


. Можем менять структуру ЭОЁ-запроса 

* Вытаскивать/изменять/удалять что-то в БД 
. Обходить авторизацию 

. ЗОН АСЕ 

. Инъекции в диалектах ЗО(, например, БОЕ 


РЕТЕЛСТ 


Фактология 


ЗО в поиске билетов на 
оф сайте Атепсап Ашште$ 


ОВ$: 

пюгтаНноп_ $света 
зтайзеагсй ргоа 
зтайзеагсй ОА 


РЕТЕЛСТ 


Кедиез!{ 


| Вам | Рагат$ | Неадег$ | Нех | 


СЕТ 
/{арр5/зтаг&еагсН/зеагсН.рАр?саИБаск=__саШаск&9=%2500%2590С%2500%25ВЕ% 
258184 е=гибсп=ВО&р=+ог+" = +В Ш _=1571062709933 НТТР/1.1 


Ноз${: 111|-5егусез.аа.сот 

Ассер{-Епсод те: в71р, 4еЙа{е 

АссерЕ: */* 

Ассер{-Гапвчцаре: еп-И$,еп-СВ:4=0.9,еп;а=0.8 

О5ег-АвепЕ: МогШа/5.0 (М/Ипадомуз МТ 10.0; ММп64; хб4) Арре\МеьКи/537.36 (КНТМ! 
Сеско) СРготе/69.0.3497.100 $а{аг/537.36 

Соппесйоп: сю5е 

СасНе-Согиго!: пах-аве=0 


Кезропзе 


__ саЙЪасК( {"гезиИ" : [{"Чазр1ау" : "Вашингтон, округ Колумбия (\МА$), Вашингтон, округ Кол 
США”, "дама" : "\МА$"}, {"@1зр1ау" : "Даллас / Форт-Уэрт (РЕ), штат Техас, США”, "даа" : " 
{"Чазр1ау" : "Нью-Йорк Сити (МУС), Нью-Иорк, США ", "дама" : "МУС"}, {"д15р1ау" : "Сан-Фр 
(5ЕО), штат Калифорния, США", "дама" : "ЗЕО"}, ("а1зр1ау” : "Хьюстон (НОО), штат Техас, С 
"дала" : "НОЦ"}, {"а1зр1ау" : "Сан-Диего (ЗАМ), штат Калифорния, США", "дага" : "ЗАМ"},{"с 
"Аэропорт Джон Уэйн, Оранж Каунти (МА), штат Калифорния, США”, "дама" : "ЗМА”},{"аи 
"Новый Орлеан (М$У), штат Луизиана, США", "дама" : "М$У"},{"д15р1ау" : "Балтимор / Ваш 
Международный (ВТ), штат Мэриленд. США”, "дата" : "ВАЛ" }, {"а15р1ау” : "Денвер (РЕМ). 
Клтотатл СИТА " "Ааа" - "РЕМ" "А еемМ ал" - "Пал_Ал:тратал (1 АУМ тптоьт Каттайьлюмтаа СП 


Фактология = 
_| Вам Рагате | Неадез | Нех 
СЕТ 
свопагу?раде=0&ЯНег=%76%22орр4ае%22%3а%76%226%22%3а%22202 
0-05-07%2000%3а00%3а00%22%2с%22е%22%3а%222020-05-07%2022%3а44%3а23'%26(5ес то 
р гл(5еес (ее %20$еер(3)%2ОНотл%204иа!%20м/пег е%20а\аБазе()%20ке%20'4\)}а)%26'%22% 74%2с 
50 |. | В П а ОТ Н е р С КО М П О ртал е %2241%22%3а%22%22%2с%224пуеп4%22%3а%2214762206%22%2‹%224Ва$1%22%3а%22%22%2с 
%2254 4уре%22%3За[%2<%221ед пит%22%3а%22%22%2с%224 изег%22%3а%22%22%74850и=%7 
8%7О8ито=%78%70 НТТР/1.1 
С Ку М О |) | | Но: сПу-тоБИ.ги 
Соппесйоп: Чозе 
АссерЕ аррйсабопД оп, 1ех{/амазсир\, */*: ч=0.01 
Х-Мем/Кейс-10: МОсР\/1)5 СКАВУМВУАЗОНИУс 
Х-Кедие${е4-\ММ/иН: ХМИНИрКедциез{ 
Узег-Адеп{: Мо2а/5.0 (МАп4оми$ МТ 10.0; МАпб64: х64) Арре\/еБКи/537.36 (КНТМЕ, Же беско) 
СВготе/81.0.4044.122 $аёап/537.36 
Только за 5О!-инъекции на т 
еу/25рьымСихХ$ ми? Сбеу) Ое1КУБЗ422Х И СЛУУ6ЕХМУОМТЕЙ СВсСс6ВЕУМТУ1 МТАДМу 5 КБоМг 
УВМОКЕТМ27ОАу7тЕ ВОС! тупой 1 ММК Ум 42 Е2МОУ27$15тВрбохМТ94ОБамМОМКАХО- 


этом портале было выплачено зиме тюокь 


$ес-РесК-Моде: сог$ 


Зес-РесН-Оез{: егпрАу 
р $200.000 КеРегег: 


В рз://сИу-тогиАажезеги/Чпуеграутет5?оррЧа{е 6 =2020-05-07%2000:00:00&орр4айе_е=2020-05 
07%2022:44:238 14 = &Чпуепа=147622068и4ПазИ = 814 {уре= []8#ед_пит= 84 изе 

Ассер{-Епсо ид: дар, ЧеЙа{е 

Ассер\-апдчаде: ги-КИли;=0.9,еп-05;4=0.8,еп:4=0.7 


'+(с@ес*тот(5@ес((веси $1еер(2) гот диа! мпеге Сооке: РНР5Е5$10=Х42!6ТКАрз)6%2ВсОО5ЬиЧудУ НИНУ 6 СХМриб ХОР; 
_№р=№.1.1585919280754.1619707400; да=СА1.2.1854744266.1585919281; 


ЧафаБа$е() ШКе 'сКу’))а)+"' 


РНР Низза 


2022 


РЕТЕЛСТ 


им 
Кедие$+{ — 
РгеМу №ЕИ Нех \п = 
1 РОТ ‚?1а= 


Ф а КТОЛ О ГИ Я 1+АМО+ехегасеуа]ие(1 , сопсат (0хЗа, изег(),0хЗа))--+а НТТР/1.1 
2 Но$Е: 1 Е й ых В 
3 сопеепЕ-Туре: ми1Е7рагЕ/Фогт-4ата; 
Боипаагу=--------------------------- 34251205253471916484616901700 


4 сооК1е: 
5 СопеепЕ-гепдаеЙ: 413 


г РИАННА 34251205253471916484616901700 


О в самописном 


11|------- = -------------- 34251205253471916484616901700 


фре Й М вор ке С гоО{- П ра ва М И НЕ сопфепЕ-01 зро$1Е1оп: Фогт-Чафа; пате="Еуре" 


15 ------ === ---------------- 34251205253471916484616901700 


о < |-| беагсв 0 та 
Кезроп5е 


430 Вам Нех Кепдег \п = 
280 епфег"> 


281 -тиЕеа"> 
282 
283 
1105 ХРАТН зутеах еггог: ':гоо@]оса1Позт: ' к. 
2 | р 231): - 
1+апа+ежгасиаие(1,сопса*(ОхЗа, изег(),ОхЗа, изег())--+- 25 щек аи 
286 'арр/Ве1регз) „рИр (575): ^ А 5 
287 'арр/Пе1регз, „.рИр (498): 
288 'арр/Не1рег$, „рНр (97): а. , 
289 „рИр(85): 


мл" = . щ р . .: . в их 


РЕТЕЛСТ 


Какие баги? 


. Инъекции 
. 5ОЁ-инъекции 
. Соде/Соттапа тесйоп 


РЕТЕЛСТ 


Соаде шесйоп 


. Инъекция РНР-кода или команд ОС 

* Исполнение произвольного кода 

* Максимальная угроза для безопасности 
. Полная компрометация приложения 
. Пробив сетевого периметра 


РЕТЕЛСТ 


ро РНР Ризза 
2022 


Фактология 


. Одау чтение файлов в ореп- 
зоигсе движке 


. Инъекция команд в скрипте 
для сброса кеша 


. Итог — захват всей 
инфраструктуры (АсНуе 
Отесюгу) 


РЕТЕЛСТ 


Ведиез1 


С нех \п = 


1 СЕТ /с1еап_сасве.рНр?19=а$4; ипате%20-а; НТТР/1.1 
2 Но$Т: Ги 


(2) < > ВЖЕ 


Везроп5е 


СЕ Вам Нех Вепдег п = 


1 НТТР/1.1 200 ОК 

2 5егуег: пд1пх 

3 Бате: Тпи, 30 Зип 2022 12:45:39 СМТ 

4 Соптепт-Туре: техт/йтт1; спаг5ет=0ТЕ-8 

5 Соппест1оп: с1о5е 

6 \агу: Ассерт-Епсо91п9 

7 Ассе55$-Соптго1-А\1ом-0г191п: ж 

8 Ассе55-Соптго1-А\1ом-Сгедепт1а1$: тгие 

9 Ассе55-Соптго1-А\1ом-Метво49$: СЕТ, РО$Т, ОРТТОМ$ 

19 Ассез5-Соптго1-А\1ом-Неадег$: ОМТ,Х-СизтотНеадег, Кеер-А\1\е 
11 Ассе55-Соптго1-Ехро5е-Неадег$: ОМТ,Х-СизтотНеадег, Кеер-А\11\ 
12 Соптепт-ГепдтИ: 285 

13 
14 [22;34т0ЕВИСб 19: 1 
15 зтати$: КЕСДЦУЕ$Т 


23 соттапа: ок 


25 [т 
26 11пих 1е-те$т 4.4.0-116-депег1с #140-Убипти $МР Моп РеБ 12 


Фактология 


. Инъекция команд при 
скачивании файлов 


. Вид Воиму 


РЕТЕЛСТ 


Кедче$1 
геНу В5Е\ИВ Нех М = 


1 СЕТ / 
2 Но5*: 


= 
5 


‚.рир ?#11е=|1$+-1а|| НТТР/1.1 
. Ги 


(250% < |-> чеокь. 


Кезроп$е 


к Кам Нех Кепдег 


<р> 


Тофа1 16512 
агихг-хг-х 
агихг-хг-х 1 
-ги-г--г- 
агихг-хг-х 
о и 
игр 
т а 
-ги-г--г- 


ныыынььынсь 


Е \ 


ими-—Чафа 
гот 

ими-—Чафа 
гоот 

иулу-дата 
имлу-дата 
иулу-дата 
имм-афа 


иим-—афа 
гоот 

имм-—Чафа 
гоот 

иулу-дата 
иулу-дата 
иулми-дафа 
иим-афа 


Арг 
Арг 
Арг 
ес 


Арг 
Арг 
Арг 
Арг 


Фактология 


° ВСЕ через $511] 
. Крупный финтех-проект 


РЕТЕЛСТ 


Кедие$1 


Ргефу ВЕ Нех \п = 


1 СЕТ 'зеотат1с/тета-соптатпег/а11-тета-сопталпег$?иг1= 

{ {сгаРЕ.арр.у1ем.еуа]иатерупам1 сСоптепт (%27рг1пт (зузтет("14""));%27)}} НТТР/2 
2 НО$Е: ‚ СОТ 
3 Узег-дАдепт: Мо2111а/5.0 (м1пдомз МТ 10.0; \м1пб4; хб4; гу:95.0) беско/2010010 
4 дссерт: техф/Итт] , арр]1сат1оп/хРЕт1+хт1 , арр11сат1оп/хт1; 4=0.9,1таде/ау1+, 1та 
5 Ассерт-Гапдчаде: ги-ВУ, ги; 4=0.8,еп-1$;4=0.5,еп;4=0.3 
6 Ассерт-Епсо41па: а271р, 4е]ате 
7 
8 
9 
10 


Ордгаае-тпзесиге-Кедие$т$: 1 
$ес-РетсН-Ое$*: доситепе 
Зес-ЕетсН-Моде: пауталте 


{6} |=] >] ео. 


Кезроп5е 


2:48 Кам Нех Кепде! \п = 


10 С#-СасНе-$тафи$: Мт$$ 

11 газЕ-Мод11еа: ТПи, 23 Оес 2021 13:59:40 смт 

12 Ехрест-сСе: тах-аде=604800, герогт-иг1="И рэ : //герог{-иг1 .с1оча+Таге. сот/сап 
13 $егуег: с1оча]аге 

14 С-Вау: 6с221с938е0афе20-НЕЁ 


15 

16 { 
"Метат1е1]есСопталпег" : "<Е1]е: | </1Е1е>", 
"МетатадСоптатпег" : 
"<тета пате=\"гефеггег\" соптепт=\"по-геФеггег-мНеп-домпдгаде\"><тета пате 
" ргорегту=\"од: 1оса]1е\"><тета соптепт=\' „" ргорегту=\"од: $11 е_ 
туре\"><тефа соптепт=\"НЕЕрз: /, зеотат1 с/те 
ДЕР >”, 
"Метае1иксопталпег": 


"<]1икК Иге+=\"АеЕрз: /, | 


ито, 


Защита -— инъекции 


* Использовать ргерагед Заетет$ для ЗОЁ 

° Или санитизировать в соответствии с синтаксисом: 
. Кодировать входные данные; 
. Экранировать спец символы; 
. Производить приведение типов. 


РЕТЕЛСТ 


ро РНР Ризза 
2022 


Защита - инъекции 


Я НЕ ФИЛЬТРУЮ ВХОДНЫЕ ДАННЫЕ 
УР 


РЕТЕЛСТ 


Статистика 
° В нашей выборке инъекций РНР в лидерах 


. О шесйоп — >60% найдены в РНР-проектах 
‚ Соде шесйоп - >80% найдены в РНР-проектах 


ОЕТЕЛСТ 


Какие баги? 


. Логические 
. Инъекции 
. 5ОЁ-инъекции 
. Соде/Соттапа шт|есНоп 
. Загрузка произвольных файлов (Е!е Уроаа) 


РЕТЕЛСТ 


Ее Урюаа 


. Загрузка и исполнение РНР-кода 
‚ Х$$ через загрузку НТМЁ или 4$ 
. Загрузка файла для дальнейшего фишинга 


РЕТЕЛСТ 


Фактология 


* ВСЕ через загрузку 
файлов 


* Крупный холдинг 


< с 'ЧееасерИр?ста=а 


РКрЬ> >С 0$Ё46$$^4еасрюрша=996(пях) 914=993(пайпх) вгоирз=993(прпх) 
тоирз=993(прйх)РК <1<?>> >51 0$Ёаё$$.$ 6о)4ееасерНр <-йа,А°@-<ца,А°@<и 


РЕТЕЛСТ 


&- 


Вецие${ 


Вам Нех 


РОЗТ /ир1оа9,рПр НТГР/1.1 

Но$т : 

Цзег-Адеп{: сиг1/7. 84,0 

Ассерт: */ж* 

‚ Сопфеп+ -Кепа+Н: 399 

Сопфеп+ -Туре: ми\41раг+ /Фогп-дафа; Боупдагу= - - --- ------------------- е39: 
Соппес*+1оп: с1о5е 


мглоою - 


] 


еее н--= е397331е98с6835е 
10 Сопфеп+ -01$ро$1410п: Фогт-дафа; пате="21р_+11е"; +1епате="дефеас* ‚рПр“ 
11 Сопфеп*-Туре;: арр\1саф1оп/ос{е+ - $4 геат 


13 РК 

14 си$Еаё$$Че*еас* ‚рНр<?рНр 

15 еспо зузфет($_СЕТ[ "ст@д"]); 

16 ?> 

17 РК? 

18 сз$Еаё$$$ ндефеас*,рИр 

19 ЧаА’ОйаА”ОаА* ОРК] М 

20 ---- - - + + ннннннннннннн + + е397331е98с6835е - - 


Везроп5е 


Ргему Вам Нех Вепаег 


1 НТГР/1.1 200 ОК 

2 5егуег: пд1пх/1, 17,9 

3 Бафе: Моп, 15 Ацд 2022 16:25:21 СМТ 
4 Сопфеп+-Туре: +ех+ /Нт 

5 Соппес+1оп: сТо5е 

6 Х-Ромеге4-Ву: РНР/5.4.16 

Сопфеп+ -Гепа+Н: 107 


9 Бебиа 1пфо: 
10 Ур\Тоа4: Чефеас+.рНр 
11 Туре: арр\1саф1оп/ос{е+ - $4 геат 
12 512е; 0.1875 КЬ 
13 Мате; арр11саф1оп/хтр 
14 ООМЕ. 


Защита -— Ее Уроаа 


. Загружать файлы на отдельный домен для раздачи статики 
. По возможности ограничить типы файлов 
. Ограничить размер загружаемых файлов 


ОЕТЕЛСТ 


ро РНР Ризза 
2022 


Какие баги? 


. Логические 
. Инъекции 
. 5ОЁ-инъекции 
. Соде/Соттапа шт|есНоп 
. Загрузка произвольных файлов (Е!е Уроаа) 
 [пзесиге Оезепа!таНоп 


РЕТЕЛСТ 


пзесиге Оезета|таноп 


* Десериализация пользовательских данных 
. Позволяет влиять на логику приложения 
* Исполнение кода через цепочки гаджетов 

. Ргорепу Опетеа Ргодгатттод 


РЕТЕЛСТ 


ро РНР Ризза 
2022 


Фактология 


* ВСЕ через десериализацию 
. Крупный банк 


Ведиуез1 


- 


7. 


3 Соок1е: 


см 7 > 


Арр1еНеьк1+/537.36 (КНТМЬ, 11ке Сеско) Свготе/98.0.4706.0 1 
ЗаЁаг1/537.36 11 
7 Ассерх: 12 
фехе /ВЕт1 , арр11са&1оп/хНт1+хи1 , арр11са&1оп/хт1;9=0.9,1таде/ 1 


РЕТЕЛСТ 


‚ Чзег-Адепе: Мо211]а/5.0 (Мас1пеозН; Тпёе] Мас 0$ Х 10 15 7) 


СЕТ / НТТР/2 
Но5*: . сом - 


$220с97е 

СА1.2.2( 5 

СА1.2.13 

1081 4р1 

ЕЗОЗНой& 

ОКхК; Аи 6 

1081 {р] 

ЕЗОДНои 

ОКхк; т 

Сасве-Сопего1 пах-аде=0 

Ордгаае-Тпзесиге-Весдиез+5: 1 8 
у 


Везропзе 


Ргену С: нех п СЁЛ нам Нех Вепдег |5] \п 


1 НТТР/2 302 Еоппа 
Рафе: Иеа, 02 Ееь 2022 13:25:05 @ 


3 Сопееп&-Туре: +ехе/Вт1; свахзее= 
4 Тоса&1оп: 


рРатп=/; Бате51се=мопе; 5есаге 


7 Зегуег: па1пх 


Саспе-Сопёго1: пах-аде=0, паз+-ге’ 


9 Ехр1гез: Иеа, 02 Ееь 2022 15:25:0 
0 Х-СопЕеп&-Туре-ОрЕ1оп5: позп1ЕЕ 


› 114=1000(аоскехг) 9149=1000(аоскег) 
3 <!РОСТУРЕ Вт1> 


РНР Низза 


Фактология 


. ПЦр5://ацпи6.сот/ат@опс$/рпрадас - библиотека и 
инструмент для генерации полезных нагрузок ипзепа!7е() 


ОЕТЕЛСТ 


Защита — Везепайхайоп 


. Белый список допустимых классов 


ро РНР Ризза 
2022 


ОЕТЕЛСТ 


Защита — Шезепаитайоп 
. Белый список допустимых классов 


. Использовать более безопасные форматы 
. 45ОМ 


ОЕТЕЛСТ 


Примеры популярных проектов 


ро РНР Ризза 
2022 


РЕТЕЛСТ 


|] |] 
В [ Г | Х 2. Уязвимости 
2.1. — ЕИи Рай О!5созиге 


2.2. Сощег Зроойпд ( тоБЙеарр./5! ) 

2.3. Сощег Зроойпд ( ра.рИр) 

2.4. Сощег Зроойпд ( гез тажефр/асе.аей ) 

2.5.  Ассоит Епитегайоп ( ШОН ) 

2.6. —Ореп КеанесЕ ( [оса/Реа!гес! ) 

2.7. Кейецед Х$$ ( тар.дооде.мем/ ) 

2.8. Кейецед Х$$ ( рпоюда!егу изег) 

2.9. Зегуег-Зае Кедие${ Рогдегу ( тат.ипргемеи’ ) 

2.10. —Фегуег-Зюае Ведие$ Рогдегу ( Рёт/_еайог_асйоп.рИр ) 

2.11. оса! Ейе Озсюзиге / псоиае ( итиа!_Ше_зузет.рИр ) 

2.12. Агйгагу ОЦес! п$апйавйоп ( усе/иЕрИр ) 

2.13. Агбйгагу ЕИе \Мще ( рёт/_едЙог_асйоп.рПр) 

3. Методы атак 

3.1. КСЕ ма РНР Оес! песвоп ( рёт/_едЙог_асйоп.рИр ) 
3.1.1. Саадеспат 
3.1.2. Обход "фикса" 

3.2. ВСЕ ма ЗОЁЕ щшесвоп ( ШОН ) 

3.3. КСЕ ма РНР Оес! песвоп ( $1/дпег_ае!аш кеу ) 

3.4. ВСЕ ма РНР Оес! песвоп ( $Ййе_срескег.рир ) 


ВЕр$: //.те/ммебр\мит/317 
ЮИр$://Ы1о2.Ае{еас{.сот/ги/БКих-ма!-Бура$$ 


ОЕТЕЛСТ 


\Могарге$$ 


Треге аге 5169 С\УЕ Весога$ Па! тас| уоиг $еагсп. 


СУЕ-2022-45375 
СУЕ-2022-45369 
СУЕ-2022-45363 


С\УЕ-2022-45082 
СУЕ-2022-45077 
СУЕ-2022-45073 


РЕТЕЛСТ 


АцЁН. Зюгед Сгоз5-$Йе $сирЧпа (Х$$) ишпега ИКу т !Ееатиге $Наег рат <= 1.2 оп 5. 

АЦ. (зибзспЬег+) ВгокКеп Ассе5$ Согго| митегаБЙКу т Р№уидт Гог бСооде Вемемз ридт <= 2.2.2 оп М 
АЦ. (5иб65спЬег+) Зоге4 Сго5$-5Ке ЗсирИпа (Х$$) т МиЯтогоир Веете {Вете <= 26.6.1 оп МогаЕ 
Мире Ац{й. (аатт-+) Зогеа Сго5$-5Ке $сийрИпа (Х$$5) ишпега. Иез т Ассог4юп$ рат <= 2.0.3 оп 
АЦП. (зиб5зспЬег+) РНР ОШес( 1п]есЧоп уцтпега ИКу т Вефете ете <= 26.5.1.4 оп МюгаРге$$. 
Сго$5-5Ке ВКедиез{ РГогдегу (СЗВР) ицпега ЙКу т ВЕЗТ АРТ Ашщпеп@саНоп рат <= 2.4.0 оп \\№огаРге$$ 


ВЕр$://Рабг.сот/ги/сотрапу/Аефеас/6|1о#/578862 


Где РНР все-таки виноват? 


ро РНР Ризза 
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РНР и баги 


* Уязвимости на уровне языка/сервера 
. РНЧР-ЕР*7АаМ 
* ВСЕ в имплементации ипзепайге() 


РЕТЕЛСТ 


РНР и баги 


7уа\ Вегпома! & т. 
сук Веегепсе Сойесноп |\ 


РЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 


РЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 
. тар_ореп 


с АЯ 
эегуег 


ро РНР Виза 
2022 


РЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 

. тар_ореп 

. та! 


ОЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 

. тар_ореп 

. та! 


аат1п@рирги$1а.ги -ООцеие)1гесфогу=/{тр -Х млм / Пт /гсе.рйр 


ОЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 


. Багофичи 
. |тар_ореп 
‚ та! 
. рщшепу 
РЕТЕЛСТ @0у РНР поза 


РН Р И ба ГИ те рау1оа@(снаг *ста) { 


спаг Би+[ | 
$гсру(Би+, ста) 


${гса* (Би+ > /Етр/спеск.х{е") 


. Уязвимости на уровне языка/сервера 88 


} 
- Багофичи 11 вефеи1а() { 
спаг *ста 
® |птар ореп 1+ (рефепу("1О_РВЕЕОАБ") == ) { гекигп @; } 
я ип5етепу ( "10_РВЕГОАО" ) 
о тан юм _ст4")) |= т 
} 
ы рщепу гетигп 
} 
ритепу ( "1О_РКЕТОА)=/уаг/ммм/ПВаск. 50") 
еспо ри{фепу("_ста=".$_СЕТ|["ста' ]) 
та1 1 ("аадттп@рпрги$1а.ги 
пом _5оигсе ( "/тр/спеск.{хт") 
РЕТЕЛСТ р 


2022 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 

. тар_ореп 

. тан 

. рщшепу 

. аезепайганоп ма рпаг:// 

. орсаспе гезе 


ОЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 
* Роутинг через файловую систему 


ОЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 
* Роутинг через файловую систему 
. По умолчанию файл в досите! гоо{ = ОРЁ 
* Отсюда проблемы с загрузкой РНР-кода 
. Отсюда же тестовые скрипты, доступные публично 


ро РНР Визза 
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РЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 

* Роутинг через файловую систему 

° Слабая типизация 


РЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 

* Роутинг через файловую систему 

° Слабая типизация 

* Смешивание кода и представления 


ро РНР Ризза 
2022 


ОЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 
* Роутинг через файловую систему 
° Слабая типизация 
* Смешивание кода и представления 
. РНР — сам себе шаблонизатор 
‚ <Ч\><?=$_СЕТ[пате’]?></ам> => Х$$ 


ро РНР Ризза 
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РЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 

* Роутинг через файловую систему 

° Слабая типизация 

* Смешивание кода и представления 

. Нерабочие механизмы защиты 


ОЕТЕЛСТ 


РНР и баги 


. Уязвимости на уровне языка/сервера 
. Багофичи 
* Роутинг через файловую систему 
° Слабая типизация 
* Смешивание кода и представления 
. Нерабочие механизмы защиты 
. азае Типсйоп$, ореп_базей! и прочие легко обойти 
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Как еще защититься"? 
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Защита 


. Нагаептод (конфиги, зипозт, зпиМеирадиз): 
. Автоматически проставляет $есиге и Зате!е 
. Васк и \/\ИПТе списки для еуа! 
. Ограничивает выполнение файлов 


. Строгое сравнение (==, тш_аггау, аггау_зеагсп - пока!) - 
аес!аге($4ис+{ {урез$ = 1) 


. \МИце$ для оберток 
.... Подробнее - ПНрз://зпиНеиради$.геа{Педос$ оЛеаигез.П {ит 
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Защита 


. Нагаептпо 
» Обновляйте РНР и компоненты 


ОЕТЕЛСТ 


Защита 


. Нагаептпо 
» Обновляйте РНР и компоненты 
 \\еб Аррисайоп Еигемга! 


РЕТЕЛСТ 


Выводы 


. Фреймворки — не панацея 
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Выводы 


. Фреймворки — не панацея 
. Продумывать обеспечение защищенности на этапе ТЗ 
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ро РНР Ризза 
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Выводы 


. Фреймворки — не панацея 
* Продумывать обеспечение защищенности на этапе ТЗ 
. Проводить периодически ревью кода и пентесты 
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Выводы 


. Фреймворки — не панацея 

* Продумывать обеспечение защищенности на этапе ТЗ 
. Проводить периодически ревью кода и пентесты 

. Уипегар!Ку Мападетет - патчи для стороннего ПО 
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ро РНР Ризза 
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Выводы 


. Фреймворки — не панацея 

* Продумывать обеспечение защищенности на этапе ТЗ 
. Проводить периодически ревью кода и пентесты 

. Уипегао!Ну Мападетеп: - патчи для стороннего ПО 

. Обучать безопасной разработке новичков 


ОЕТЕЛСТ 


ро РНР Визза 
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Выводы 


. Фреймворки — не панацея 

* Продумывать обеспечение защищенности на этапе ТЗ 

. Проводить периодически ревью кода и пентесты 

. Уипегао!Ну Мападетеп: - патчи для стороннего ПО 

. Обучать безопасной разработке новичков 

. Проводить СТЕ среди разработчиков/девопсов/тестеров 


ОЕТЕЛСТ 


ро РНР Ризза 
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Выводы 


. Фреймворки — не панацея 

* Продумывать обеспечение защищенности на этапе ТЗ 

. Проводить периодически ревью кода и пентесты 

. Уипегао!Ну Мападетеп: - патчи для стороннего ПО 

. Обучать безопасной разработке новичков 

. Проводить СТЕ среди разработчиков/девопсов/тестеров 
. Новые версии РНР сильно лучше в плане безопасности 


ОЕТЕЛСТ 
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Что еще почитать? 


. Пр5:/Л.те/ВоищуОптпСоНее 
Ю{р$://6и.|у/рпр_ипзенайхе 


» Пр$://пабг.сот/ги/сотрапу/\К/5!09/344696/ 
® ПИр$://М/м/м/. испага\ма$Ито{оп.со.иК/ро${$/2022/4/3/опр-уре-за1“у-иразеа-юг-рпр81 


* Пр$з://боок.ПасКиск$.ху2/пе\могК-зегисе-рещезта/рещезта-меб/рир-{искК$-ез 
* Прэз://рпргиз!а.ги/тозсо\/2021/абз1гас!5/7235 

® Пр5://Аизи.ога/о/рпр8-пот-а-зесищу-ротео-мем. Пт! 

. Пр$://бюа.Ней!.6е/2022/08/16Лпсгеазта-рИр-зеси\у-мИ-зпиМеирадиз/ 

. Пр$://ацпиб.сот/ацагагайю/амезоте-рйр-зеси у 

» Прэ://5егаеутикИт.сот/о!оа/{годауа-нрихга{уа-рпр 

® Прэз://м/^мм.еуопае.сот/Ли22та-ипзенпайге/ 


ОЕТЕЛСТ 


Что еще почитать? 


» Пр$://оммазр.ога/милмм-раТ-агсмуе/РНРМаодгс Тискз- Гуре/длиаа!та.раё 

. Прз://боок.Пасщиск$.ху2/пемогК-зегисез-рещезта/рещез{та-меб/рйр-иск$-езр 
* Прэз://по{5о5есиге.сот/гетое-соде-ехесийопт-рИр-ипзенайге 

* Пр$з://ацпи6.сот/мл$Кугеро/Рауюаа АТ пеТитазЛгее/та$ег 

* Прэз://м/мм/.зупаскиу.сот/геззоигсе/тодеги рИр_зеси у зес44еу.роё 
» Прз://оюа.ащеассот/ги/аачитесноп/ 

» Пр$з://ацАи6.сот/пеех/рпир-ригдат 

* Прз://6И.улмр_Паск 7п 

* Пр5:/Логит.апйспа{.сот/Айгеаа$/463395/#роз1-4254681 

» Пр$://60а.зопагзоигсе.сот/мПу-та!-1°-апаегои$-т-рйр/ 

* Прэ://60д.зопагзоигсе.сотАад/зесищу/ 


РЕТЕЛСТ 


Для практики 


. ПНо$://арр!саноп.зесиу/Лтее/омазр-юр-10 
* П{рз://ацпио.сот/Чатиий]а/О\У\\А 

. ПЫрз:/Агатта.зпук.10/ 

. ПЫрз://роцзмлааег.пе!/\меб-зесиу/а!-|а6$ 

. ПИрз://аНаскавепзе.реще{егасадету.сот/ 


ОЕТЕЛСТ 


Квиз 
Код викторины 0038319 


Сканируйте 


ро РНР Низза 
2022 


ОЕТЕЛСТ 


Таск 


рИрги5$азесигКу|аЬ.ги:8089 


ро РНР Ризза 
2022 


РЕТЕЛСТ 


ВОПРОСЫ? 


ВА \ Мс@ #АНтЕзОреп О Иво 


1995: РНР 1$ аеаа, |еагп СоаРГиз!оп 
2002: РНР {$ деаа, |еагп АЗР.пе{ 
2003: РНР 1$ адеач, |еагп О}ап5о 
2004: РНР 1$ деад, |еагп КиБу оп Ка|$ 


2010: РНР 1$ деад, |еагт Назк 
2011: РНР 1$ деаа, [еагпт Апя\ц1аг/$ 
2016: РНР 1$ адеаа, [еагп Мех{.]$ 
2022: окКау {9$ 1$ ам/Кмгага 


@ВОЧМТУОМСОРЕЕЕЕ 


ОЕТЕЛСТ 


